elog由于磁盘空间不足导致查询不到Eudemon/USG防火墙的日志

发布时间:  2012-07-16 浏览次数:  115 下载次数:  0
问题描述

以操作员身份登录Secospace eLog 日志管理系统,查询不到Eudemon/USG防火墙的转储日志和最新的报表,只能查询到当天的部分在线日志。
以管理员身份登录Secospace eLog 日志管理系统,选择“系统管理 > 系统日志”,“系统日志”的“查询结果”中显示“在线日志剩余存储空间不足(剩余存储空间必须大于2048M),无法继续存储EudemonSession日志,请手动清理在线数据磁盘。”,如下图所示。

告警信息
处理过程
有两种方法可以解决此问题:
1. 按照《Seccospace eLog 日志管理系统 安装指南》中的分区要求重新划分磁盘分区。此种方法需要在重新分区后重新安装Secospace eLog 日志管理系统,请在重新分区之前备份之前的日志数据。
划分磁盘分区的方法请参见《Seccospace eLog 日志管理系统 安装指南》中的“划分磁盘分区”章节。
2. 挂载磁盘柜,对在线日志空间和转储日志空间进行扩容。此种方法需要配置磁盘柜。
配置磁盘柜的操作请参见《Seccospace eLog 日志管理系统 安装指南》中的“配置磁盘柜”章节。
对在线日志空间和转储日志空间进行扩容的方法请参见案例“对日志采集器的存储空间进行扩容”。
根因

Secospace eLog 日志管理系统的在线日志和转储日志必须放在不同的分区中,以保证在线日志和转储日志的存储空间不会同时被装满。上述问题出现的原因是:安装Secospace eLog 日志管理系统之前,没有按照《Seccospace eLog 日志管理系统 安装指南》中的分区要求对服务器的磁盘进行分区,将在线日志和转储日志放在了同一个分区中。在线日志和转储日志的磁盘空间同时装满后无法再接收新的日志,导致Eudemon/USG防火墙发送过来的最新的日志被丢弃,从而在Secospace eLog 日志管理系统无法查询到最新的在线日志和报表。由于转储日志是压缩后保存的,如果查询转储日志,Secospace eLog 日志管理系统需要先对转储日志进行解压,然后才能查询,而磁盘空间满导致没有足够的空间对转储日志进行解压,所以也无法查询到转储日志。

建议与总结

END